• Исследователи обнаружили несколько уязвимостей WhatsApp во время конференции Black Hat 2019.
• Уязвимости позволяют плохим актерам манипулировать чатом.
• У Facebook нет исправлений для уязвимостей.

Недавние уязвимости в WhatsApp позволяют злоумышленникам подделывать сообщения и делать их похожими на те, что пришли от вас, сообщило вчера Check Point Research. Компания Check Point Research объявила о своих выводах во время конференции по безопасности Black Hat 2019.

По словам исследователей, существует три способа использования уязвимостей:

1. Используйте функцию «цитата» в групповом разговоре, чтобы изменить личность отправителя, даже если этот человек не является членом группы.
2. Измените текст чьего-либо ответа, по сути, положив слова в рот.
3. Отправьте личное сообщение другому участнику группы, который замаскирован как общедоступный для всех, поэтому, когда целевой человек отвечает, он виден всем в беседе.

Check Point проинформировал WhatsApp об уязвимостях в августе 2018 года. Затем WhatsApp исправил третий метод. Тем не менее, исследователи обнаружили, что все еще можно манипулировать котировками и подделывать их. Check Point использовала расширение Burp Suit Extension, чтобы взломать сквозное шифрование и расшифровку чатов в WhatsApp. Здесь можно использовать веб-версию WhatsApp, которая использует QR-коды для сопряжения с вашим телефоном.

Check Point сначала получил пару открытого и закрытого ключей, созданную до того, как WhatsApp сгенерирует QR-код. В сочетании с «секретным» параметром, отправляемым вашим телефоном веб-клиенту WhatsApp при сканировании QR-кода, расширение Burp Suit позволяет легко отслеживать и дешифровать s.

Представитель Facebook предоставил следующее заявление Следующая Сеть:

Мы тщательно рассмотрели эту проблему год назад, и было бы неверно утверждать, что существует уязвимость с точки зрения безопасности, которую мы предоставляем в WhatsApp. Описанный здесь сценарий - это просто мобильный эквивалент изменения ответов в ветке электронной почты, чтобы он выглядел как нечто, что человек не написал. Мы должны помнить, что решение проблем, поднятых этими исследователями, может сделать WhatsApp менее конфиденциальным, например, хранить информацию о происхождении s.

К сожалению, у компании, похоже, нет решения для уязвимостей WhatApp. Поскольку служба обмена сообщениями использует сквозное шифрование, Facebook не может получить доступ к расшифрованным версиям s. Это означает, что Facebook не может вмешаться, если плохие актеры используют вышеупомянутые уязвимости.